Allan Frank er it-sikkerhedsspecialist i Datatilsynet, og det er blandt andet hans rolle at vurdere, om Helsingør Kommune bryder loven, når de beder deres elever og ansatte på skolerne om at bruge Googles Chromebooks.

It-specialist i Datatilsynet: "Jeg har endnu ikke set en kommune, der lever fuldt op til reglerne"

Det er ligegyldigt om der står Apple, Microsoft eller Google på skolens digitale dimser. Efter Chromebooksagen i Helsingør bør alle kommuner tjekke, om de beskytter elevernes data godt nok, mener it-sikkerhedsspecialist fra Datatilsynet.

Offentliggjort Sidst opdateret

(Rubrikken er præciseret d. 3.8. 2022 kl. 10.30 red.)

Sagen om Chromebooks handler ikke om alene Chromebooks.

Sådan lyder budskabet fra en af hovedpersonerne i skoleverdens seneste it-teknologiske drama, som vi jo kan kalde Chromebooksagen i Helsingør.

Allan Frank er it-sikkerhedsspecialist i Datatilsynet, og dét er blandt andet ham, der skal vurdere, om Helsingør Kommune overholder databeskyttelsesloven, når de beder lærere og elever på kommunens skoler om at arbejde på de små laptops fra Google.

”Chromebook er tilfældigvis det produkt, man har valgt at bruge i Helsingør, men sagen handler ikke primært om teknologi. Det handler om at bruge de oplysninger, man har om børn, på en god og ordentlig måde. Selvom man bruger Microsofts produkter eller noget andet, skal man stadig undersøge, om der er nogle af de samme problemer, som gør sig gældende”, siger Allan Frank.

Det betyder altså, at det ikke kun er de godt halvtreds procent af kommunerne, der bruger Googles computer, som skal spidse ører efter Chromebook-forbuddet i Helsingør. Det bør alle kommuner, der giver elektronik til børn i princippet, forklarer han.

”Der er ret mange andre kommuner, der også bruger elektroniske redskaber. Denne her sag viser nogle nye problemer omkring videregivelse af børns data til tredjeparter, og kommunerne er nødt til at gennemgå deres digitale settup, for at se, om der er nogle af de her problemer, der også gør sig gældende for dem”, siger Allan Frank og tilføjer,

”Og det kan kommunerne lige så godt gå i gang med, inden de selv bliver ramt af et forbud”.

Børnedata må ikke bruges til overvågning

En af de store knaster i Helsingørs Chromebooksag var, at kommunen ifølge Datatilsynet ikke i tilfredsstillende grad kunne vurdere, om elevernes data faldt i hænderne på Google eller andre aktører.

Og det strider mod loven, forklarer Allan Frank,

”Folkeskoleloven giver ikke hjemmel til, at man videregiver elevers oplysninger, som andre dataansvarlige kan bruge til deres formål, og det er ligegyldigt om det er Google, Microsoft eller Apple, der er tale om. Der er ingen andre end kommunen selv, der skal bestemme over børnenes oplysninger. Og hvis andre får oplysningerne, skal de bruges til de formål, som folkeskoleloven tillader, og altså ikke til for eksempel markedsføring, produktudvikling og overvågning”, understreger han.

Hver dag bruger danskerne, både store og små, produkter fra Google, Microsoft, Apple og at hav af andre udbydere, og til gengæld lader vi dem bruge vores data. Man kunne derfor fristes til at spørge, hvorfor det egentlig er så slemt, at skolebørns data ryger i hænderne på de selvsamme udbydere?

Allan Franks svar lyder:

”Når børn går i skole, må de finde sig i at bruge de løsninger, som kommunalbestyrelsen har valgt for dem. De her ikke selv noget valg, og derfor må vi sikre os, at det foregår inden for lovens rammer. Det er hovedpointen”.

Reglerne er svære at overholde

Opgaven er dog ikke helt let.

En af de store udfordringer for kommunernes it-ansvarlige kan være, at kommunerne ofte indgår aftaler med it-udbyderne på nogle forudsætninger, der senere ændrer sig, forklarer Allan Frank.

”Det kan både være det kontraktuelle, men også måden leverandøren bruger teknikken på. Men hver gang det sker, er kommunen nødt til at stoppe op og overveje, om de stadig kan bruge det her produkt. Og det er den øvelse, der skal til”.

Allan Frank mener egentlig, at kommunerne generelt gør en stor og fin indsats for at få styr på databeskyttelsen.

Jeg har endnu ikke set en kommune, der lever fuldt op til reglerne

Allan Frank, Datatilsynet

”Der er ingen kommuner i Danmark, der har lyst til at gøre noget ulovligt. Ofte har de bare ikke brugt nok tid til at få kendskab til, hvordan deres løsninger kan bruges lovligt. De prøver, men jeg har endnu ikke set en kommune, der lever fuldt op til reglerne. Vi har lidt over tyve verserende sager, som vi mangler at gennemgå, og vi kan ikke udelukke, at én af dem rent faktisk godt kan leve op til reglerne", siger Allan Frank.

Men det kan ændre sig meget snart.

Øverst i bunken på Allan Fransk skrivebord ligger sagen fra Helsingør nemlig. Kommunen havde en tidsfrist indtil i dag 3. august til at dokumentere, at deres brug af Chromebooks levede op til databeskyttelsesloven, og det mener kommunen selv, at de gør.

Hvorvidt it-specialisten er enig, lover han at give kommunen svar på, så hurtigt han kan,

"Vi svarer så hurtigt som muligt. Jeg har åbnet bilagene og konstateret, at ét af dem er over 1.700 sider langt. Så det tager den tid, det tager, at komme igennem de, men opgaven ligger definitivt øverst i bunken".